¿Cómo puedo modificar los permisos para que un usuario o rol de IAM no pueda configurar Amazon SageMaker Canvas?

2 minutos de lectura

Quiero modificar mis permisos de usuario de AWS Identity and Access Management (IAM) y AWS IAM Identity Center para que los usuarios no puedan configurar Amazon SageMaker Canvas.

Resolución

Para modificar los permisos de modo que una identidad de IAM no pueda configurar una aplicación de SageMaker Canvas, cree una política de IAM que deniegue los permisos.

Para adjuntar la política de IAM al rol de ejecución de SageMaker, siga estos pasos:

Abre la consola de IAM.
En el panel de navegación, elija Políticas.
Seleccione Crear política y, a continuación, seleccione la pestaña JSON.

Introduzca la siguiente política de IAM en el editor de políticas:

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSageMakerCreateAppOperations",
      "Effect": "Allow",
      "Action": "sagemaker:CreateApp",
      "Resource": "*"
    },
    {
      "Sid": "DenySageMakerCanvasCreateApp",
      "Effect": "Deny",
      "Action": "sagemaker:CreateApp",
      "Resource": "arn:aws:sagemaker:example-region:1111222233334444:app/example-domain/example-user-name/Canvas/*"
    }
  ]
}

Nota: En la política anterior, sustituya example-region por su región de AWS 1111222233334444 y 1111222233334444 por su ID de cuenta de AWS. Además, sustituya example-domain por su ID de dominio de SageMaker Studio y example-username por el nombre de su perfil de usuario de SageMaker Studio.

Resuelva las advertencias de seguridad, los errores o las advertencias generales generadas durante la validación de la política y, a continuación, elija Revisar política.
Elija Siguiente: Etiquetas.
En la página Revisar política, introduzca un nombre y una descripción opcional para la política.
Revise el resumen de la política y, a continuación, elija Crear política.
En la lista de políticas, seleccione su política.
Elija la pestaña Uso de la política y, a continuación, elija Adjuntar.
En la lista de usuarios y roles de IAM, seleccione el rol de ejecución de SageMaker para el usuario de Studio.
Elija Adjuntar política.

Si el usuario de IAM intenta configurar una aplicación de SageMaker Canvas después de adjuntar la política de IAM, recibirá el siguiente error:

«SageMaker is unable to use your associated ExecutionRole [SageMaker Studio User Execution Role] to create app. Verify that your associated ExecutionRole has permission for 'sagemaker:CreateApp'.»

Temas: Machine Learning & AI Storage
Etiquetas: Amazon SageMaker
Idioma: Español

OFICIAL DE AWSActualizada hace un año

Sin comentarios

Contenido relevante

Usuario root no puede crear Glue Crawlers - AccessDeniedException a nivel de cuenta
nn
preguntada hace 25 días
Autenticación de usuarios en chat en Amazon Connect
Eric Vega
preguntada hace 9 meses
no me puedo conectar a mi servidor
rafafer
preguntada hace 22 días
Problemas con MFA
Rafael Tamayo
preguntada hace 7 meses
Error al actualizar datos de pago
victor
preguntada hace 9 meses
¿Cómo compruebo qué rol usa mi usuario de Amazon SageMaker Studio y cómo puedo cambiar este rol?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los problemas al acceder a un proyecto de Amazon SageMaker en SageMaker Studio?
OFICIAL DE AWSActualizada hace 3 años
¿Cuáles son los permisos mínimos que necesito para Amazon SageMaker?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo puedo solucionar los problemas con los trabajos de cuaderno programados en SageMaker Studio?
OFICIAL DE AWSActualizada hace 2 años